可以欺骗电子邮件地址吗?
<h1>如何判断电子邮件是否已欺骗</h1>
<blockquote>我从地址和个人资料图片中从垃圾文件夹中收到了网络钓鱼消息. 我相信由于标题信息而被欺骗. 我更改了密码. 我还应该采取其他行动方案吗?</blockquote>
<h2>什么是电子邮件欺骗?</h2>
<p>电子邮件欺骗是一种用于垃圾邮件和网络钓鱼攻击中的技术. 在欺骗攻击时,发件人伪造电子邮件标头,以便客户端软件显示欺诈性发件人地址,大多数用户将其视为面值. 除非他们更仔细地检查标头,否则用户在消息中看到伪造的发件人. 如果他们知道这是一个名字,他们更有可能信任它. 因此,他们将点击恶意链接,打开恶意软件附件,发送敏感数据甚至有线公司资金.</p>
<p>由于电子邮件系统的设计方式,可以通过电子邮件欺骗. 传出消息由客户端应用程序分配给发送者地址;即将发出的电子邮件服务器无法判断发件人地址是合法的还是欺骗的.</p>
<p>收件人服务器和Antimalware软件可以帮助检测和过滤欺骗消息. 不幸的是,并非每个电子邮件服务都有安全协议. 不过,用户可以查看包装包装的电子邮件标头,以确定发件人地址是否已伪造.</p>
<h2>电子邮件欺骗的简短历史</h2>
<p>由于电子邮件协议的工作方式,电子邮件欺骗一直是自1970年代以来的问题. 它始于垃圾邮件发送者,他们用它来绕过电子邮件过滤器. 这个问题在1990年代变得越来越普遍,随后成长为2000年代的全球网络安全问题.</p>
<p>安全协议是在2014年引入的,以帮助与电子邮件欺骗和网络钓鱼作斗争. 由于这些协议,现在将许多欺骗的电子邮件发送给用户垃圾邮件盒或被拒绝,并且从未发送到收件人的收件箱.</p>
<h2>电子邮件欺骗的工作方式和示例</h2>
<p>电子邮件欺骗的目的是欺骗用户相信电子邮件是来自他们认识或可以信任的人 – 在大多数情况下,同事,供应商或品牌. 攻击者利用这种信任,要求收件人泄露信息或采取其他行动.</p>
<p>作为电子邮件欺骗的一个示例,攻击者可能会创建一封电子邮件,看起来像PayPal. 该消息告诉用户,如果他们不单击链接,请验证网站并更改帐户的密码,他们的帐户将被暂停. 如果用户被成功欺骗并输入凭据,则攻击者现在具有凭据来验证目标用户的PayPal帐户,可能从用户那里窃取资金.</p>
<p>更复杂的攻击针对金融员工,并使用社会工程和在线侦察来欺骗目标用户将数百万人发送到攻击者的银行帐户.</p>
<p>对于用户来说,一条欺骗的电子邮件看起来是合法的,许多攻击者将从官方网站上获取元素,以使消息更加可信. 这是带有PayPal网络钓鱼攻击的电子邮件欺骗示例:</p>
<p> <img src=”https://www.proofpoint.com/sites/default/files/misc/example-of-email-spoofing.png” alt=”电子邮件欺骗的示例” width=”624″ height=”456″ /></p>
<p>使用典型的电子邮件客户端(例如Microsoft Outlook),当用户发送新电子邮件时,将自动输入发件人地址. 但是攻击者可以使用任何将发件人地址配置为选择电子邮件地址的语言的基本脚本编程发送消息. 电子邮件API端点允许发件人指定发件人地址,无论地址是否存在. 即将发出的电子邮件服务器无法确定发件人地址是否合法.</p>
<p>使用简单的邮件传输协议(SMTP)检索和路由传出电子邮件. 当用户单击电子邮件客户端中的“发送”时,该消息首先发送到客户端软件中配置的即将传开的SMTP服务器. SMTP服务器识别收件人域并将其路由到域的电子邮件服务器. 然后,收件人的电子邮件服务器将消息路由到正确的用户收件箱.</p>
<p>对于每一个“跳”,电子邮件都会在从服务器到服务器上传播的电子邮件时,每个服务器的IP地址已记录并包含在电子邮件标题中. 这些标题泄露了真实的路线和发件人,但是许多用户在与电子邮件发送者互动之前不检查标头.</p>
<p>电子邮件的三个主要组成部分是:</p>
<p>- 发件人地址</p>
<p>- 收件人地址</p>
<p>- 电子邮件的正文</p>
<p>网络钓鱼经常使用的另一个组件是回复字段. 该字段也可以从发件人中配置,可用于网络钓鱼攻击. 回复地址告诉客户端电子邮件软件在哪里发送答复,这可能与发件人的地址不同. 同样,电子邮件服务器和SMTP协议未验证此电子邮件是合法的还是伪造的. 用户可以意识到答复将向错误的收件人.</p>
<p>这是一个示例伪造的电子邮件:</p>
<p> <img src=”https://www.proofpoint.com/sites/default/files/misc/forged-email-spoofing-example.png” alt=”锻造电子邮件示例 – 电子邮件欺骗” width=”624″ height=”465″ /></p>
<p>请注意,据说来自发件人字段中的电子邮件地址来自比尔·盖茨(B).盖茨@microsoft.com). 这些电子邮件标题中有两个部分要审查. “收到”部分显示电子邮件最初是由电子邮件服务器电子邮件处理的.随机公司.NL,这是第一个线索,这是电子邮件欺骗的情况. 但是最好的审查领域是接收的SPF部分 – 该部分具有“失败”状态.</p>
<p>发件人策略框架(SPF)是2014年标准的安全协议。. 它与DMARC(基于域的消息身份验证,报告和合格)一起使用,以停止恶意软件和网络钓鱼攻击.</p>
<p>SPF可以检测到欺骗的电子邮件,并且大多数电子邮件服务都很普遍来对抗网络钓鱼. 但是使用SPF是域持有人的责任. 要使用SPF,域持有人必须配置DNS TXT条目,以指定代表该域发送电子邮件的所有IP地址. 通过配置此DNS条目,接收到电子邮件服务器在接收消息时查找IP地址,以确保与电子邮件域的授权IP地址匹配. 如果有匹配项,则接收的SPF字段显示通过状态. 如果没有匹配项,则该字段将显示失败状态. 接收者在收到带有链接,附件或书面说明的电子邮件时审查此状态.</p>
<h2>如何判断电子邮件是否已欺骗</h2>
<p>技术编辑独立审查产品. 为了帮助支持我们的任务,我们可能会从本页上包含的链接中获得会员委员会.</p>
<p>每天都有许多电子邮件骗局降落在您的收件箱中,从据说从朋友到IRS模仿者到敲诈者到勒索者,威胁要暴露您以观看色情片. 而且,这些骗局中的许多骗局的原因是,它们依靠一个“欺骗”的电子邮件地址来使他们似乎来自您信任的人(甚至是您自己的电子邮件地址),而不是6,000英里的骗子. 因此,学习如何判断电子邮件是否被欺骗对于保护自己至关重要.</p>
<p>欺骗电子邮件如此普遍的部分原因是,欺骗地址非常容易. 任何邮件服务器都可以设置以从给定域发送(E.G. 国税局.gov),甚至还有一些网站可以让您免费使用任何电子邮件地址发送一次性电子邮件. 但是这两种方法都留下了散布的曲目.</p>
<p>要查找这些曲目,您需要查看电子邮件标题. 标题包含每封电子邮件的关键组件 – 从,到日期和主题 – 以及有关电子邮件的来自何处以及如何将其路由到您的详细信息. 重要的是,它还包含您的电子邮件提供商用于确定发送服务器是否有权使用该域发送的验证过程的结果(i.e., 该服务器是否被授权从IRS发送电子邮件.政府?).</p>
<p>显示您的电子邮件标头的不同,具体取决于您正在使用的电子邮件服务. 对于Gmail,打开电子邮件,然后单击回复箭头旁边的三个垂直点,然后选择“显示原始”. 对于其他电子邮件程序,您可以使用此列表.</p>
<p><img src=”https://www.techlicious.com/images/computers/gmail-show-original-670px.jpg” alt=”Gmail消息的屏幕截图标题为“这是真实的电子邮件”。不是骗局。诚实的。指出了三重点菜单图标和带有回复,向前,像这样的过滤消息的下拉菜单,打印,删除此消息,块josh kirschner,报告垃圾邮件报告网络钓鱼,显示原创(指向),翻译消息下载消息和标记如阅读。” width=”” height=”” /></p>
<p>以下是我从在线欺骗服务发送的欺骗电子邮件的示例,假装它来自我自己的地址. 看起来很真实. 它说它来自我的电子邮件地址,如果我回答,它将转到相同的地址. 实际上,除非Gmail将其过滤到我的垃圾邮件盒中,否则电子邮件甚至会出现在我的已发送文件夹中,这可能会使我不正确地相信我的电子邮件被黑客入侵.</p>
<p>但是标题信息会随着欺骗而散布. 这里有很多技术内容,但是您可以忽略其中的大部分. 最重要的两件事是 <strong>域名和IP地址</strong> 在“接收”字段中,验证结果 <strong>接收的spf</strong> 场地.</p>
<p><img src=”https://www.techlicious.com/images/computers/spoofed-email-header-640px.jpg” alt=”欺骗的电子邮件头显示了从收到的电子邮件标题字段中发送的电子邮件是emkei.cz(电子邮件欺骗站点)。还指出,接收的SPF显示为软体动物。” width=”” height=”” /></p>
<p>如上所述,该电子邮件从emkei发送的域名.CZ(电子邮件欺骗网站),而不是技术.com,那是一个死去的赠品. 但是,如果域名相似,或者仅列为IP地址,则应该检查IP地址,并查看是否通过气味测试. 为此,请转到域工具,然后在接收到的字段中输入“从” IP地址中的“ WHOIS查找”. 当我用46.167.245.206在上面的示例中,它告诉我这是一个叫Emkei的主机.CZECH共和国的CZ – 不是我希望看到这是否真的是一封由技术发送的电子邮件.</p>
<p>接下来,如果我们查看接收的SPF字段,并看到它是软体动. 发件人策略框架(SPF)是域的一种方式(e.G., 技术.com)指定允许哪些服务器代表其发送邮件. 从允许的服务器发送的邮件将显示为“<strong>经过</strong>”在接收的SPF领域,这是一个非常有力的指标,表明该电子邮件是合法的. 如果结果显示“<strong>失败</strong>“ 或者 ”<strong>Softfail</strong>”,这是一个迹象,该电子邮件可能会被欺骗,尽管这不是100%确定的,因为某些域并不能使SPF记录保持最新状态,从而导致验证失败.</p>
<p>综上. 而且不要忘记相信你的肠子. 如果电子邮件听起来难以置信,那可能是. 不要直接响应或打开任何附件. 如果是公司,银行或政府组织,请在网络上找到他们的联系信息,并直接与他们联系以查看电子邮件是否合法.</p>
<p><em>更新于20121年11月8日</em></p>
<h2>讨论</h2>
<h3>查找列表</h3>
<p>2018年11月3日从詹姆斯发出:: 2:55 pm</p>
<p>您显示的列表不适合Yahoo电子邮件.</p>
<h3>这是查看Yahoo的电子邮件标头的方法</h3>
<p>2018年11月5日从乔什·基尔斯纳(Josh Kirschner):: 11:27 AM</p>
<p>要查看Yahoo中的电子邮件标题信息,请打开电子邮件,单击邮件顶部菜单中的三个水平点,然后点击“查看RAW消息”</p>
<h3>如果SPF显示通过?</h3>
<p>2021年3月25日从佩塔(Petah):: 6:32 pm</p>
<p>这是否意味着它被黑客入侵? 当我打电话给朋友时,收到了更多电子邮件,检查他们不是真实的. 他们没有在他的发送文件夹中显示. 我无法阻止他的地址,否则不会收到他的合法电子邮件. 他能做什么? 我能做些什么?</p>
<h3>如果SPF接收者没有,该怎么办?</h3>
<p>2018年11月8日从拉拉发出:: 3:50 pm</p>
<p>标题已经说了.</p>
<h3>然后它可以走任何一种方式</h3>
<p>2018年11月9日从乔什·基尔希纳(Josh Kirschner):: 12:09 pm</p>
<p>虽然最好的做法是为域名建立SPF记录,而绝大多数发件人都这样做,但并非每个人都这样做. 因此,SPF将显示为“无”. 在这种情况下,您无法确认它是合法的,也无法确定它是否是从SPF记录中欺骗的. 因此,您应该使用有关电子邮件内容的常识,如果您仍然不确定,请直接与发件人联系以确认合法性(并对他们没有SPF记录大喊大叫).</p>
<h3>您的网站冻结了我的桌面!</h3>
<p>2018年11月10日从约翰出发:: 8:09 pm</p>
<p>此网站/页面上的活动部件太多,我的Mac-Mini上的冻结了! 花了大约5分钟只是为了告诉你. 我本来打算在FB和Twitter上分享这一点,但不想将联系人揭露到似乎是恶意网站本身的.</p>
<h3>感谢您让我们知道</h3>
<p>2018年11月12日从乔什·基尔希纳(Josh Kirschner):: 7:35</p>
<p>我们定期监视网站的性能,以管理跨设备的性能. 但是,我们的一个广告合作伙伴可能正在发出一个可能影响性能的新广告,尤其是在您在旧设备上运行的情况. 我会密切注意是否可以发现问题. 但是请放心,该网站没有任何恶意.</p>
<h3>检查欺骗电子邮件的另一种方法:发件人的返回地址</h3>
<p>2018年11月12日从Skeeter Sanders :: 4:23 PM</p>
<p>我使用Microsoft Outlook(以前是Hotmail)作为我的主要电子邮件服务. 我注意到每次收到“欺骗”电子邮件时,发件人的地址就会出现在标题中.</p>
<p>iot确定Microsoft的反网络钓鱼系统是否配置为将发件人的真实电子邮件向其用户展示给其用户,但是有很多实例,其中一封电子邮件据称来自一家大公司(I.e., PayPal)显示了一个REUTRN地址,该地址显示了“ PayPal.com.“我立即使用Outlook的下拉报告菜单将其报告给微软为“网络钓鱼骗局”.</p>
<p>Microsoft长期以来一直具有非常激进的反垃圾邮件过滤器(比Gmail或Yahoo邮件都更具侵略性),那么为什么它也不具有激进的反向播放过滤器,以揭示发件人的真实电子邮件地址? 我使用了十多年的Hotmail/Outlook,但我从未被垃圾邮件或恶意软件的电子邮件愚弄.</p>
<h3>骗局,但他们正确地提到了我以前的密码</h3>
<p>2018年11月16日从JBOF4发出:: 5:09 AM</p>
<p>我也收到了这封介绍自己的电子邮件,并说明他如何通过路由器入侵我的SBC电子邮件,要求800.00比特币,威胁并不关心我,但是他说他会在黑客时注意我的密码来给出证据,这是正确的(遗失了几封信,但他剩下的恰恰是. 他说他砍了我的电子邮件2018年夏季. 我对我的下一步无知,再次更改密码,但他说他正在关注我,仍然会收到新密码,说他可以访问我的相机并为我拍照. 爬行. 我知道这是一个骗局,我是中世纪的妈妈,并且不看色情,什么让我感到担心,他指的是我的iPhone或Mac,或两者兼而有之,以及他如何获得我的密码,一旦我更改了我的新密码? <br />谢谢.</p>
<h3>没什么大不了的,除非您仍在使用它.</h3>
<p>2018年11月19日从乔什·基尔希纳(Josh Kirschner):: 1:57</p>
<p>您的密码很可能被揭示为多年来发生的许多巨大证书黑客之一. 我非常怀疑您的个人系统是否入侵. 我在关于色情勒索骗局的故事中更详细地讨论了这一点.</p>
<p>如果他发送的密码是您仍在积极使用的密码,那是非常糟糕的. 这意味着您的帐户高度不安全,您需要立即更改密码. 展望未来,请确保您始终为每个登录. 我们推荐的密码管理器之一使您可以轻松执行此操作.</p>
<h3>谢谢</h3>
<p>2018年11月19日从JBOF4发出:: 2:46 pm</p>
<p>感谢您的回复. 当他写信时,我只是很紧张,他通过我的路由器入侵了我的电子邮件,说不要打扰更改我的电子邮件密码,因为他说他可以遵循新密码. 难怪为什么我最近在收件箱中收到40-60个骗局电子邮件.</p>
<h3>欧盟sou um desenvolvedor de软件间谍软件. Sua Conta Foi Invadida por mim noverãode2018.</h3>
<p>2018年12月6日从Marcelo von Atzingen Trevisani ::下午2:17</p>
<p>欧盟Moro Aqui no Brasil E最近的RECBI ESTAAMEAçaTambémEMe Senti terrivelmenteameaçado. Depois Eu procurei Pelo比特币:1122nybat2kkzdz5tfvgy4d2ut7eyfx4en.比特币.com/reports/1122nybat2kkzdz5tfvgy4d2ut7eyfx4en</p>
<p>我to tranquilizou um pouco. JáEstavaIndo Para A Policia联邦政府巴西Para Fazer Um Boletim.</p>
<p>Ainda Estou Assustado,Espero Que Seja Mentira Mesmo,Poiséhorrivelse sendirameaçado.</p>
<h3>国家的IP阻止</h3>
<p>2019年3月1日从何塞·希克斯(Jose Hicks):: 3:03 pm</p>
<p>除了我设法减轻滥用邮件服务器之外,我还尝试具有最佳配置. 最重要的是,当您评论时,不要忘记相信您的本能. 何塞·希克斯(Jose Hicks)</p>
<h3>接收的SPF通行证</h3>
<p>从2019年5月14日的DF发出下午9:10</p>
<p>我收到了一封骗局电子邮件,其“收到”部分显示了一些随机的网站,但“接收-SPF”部分显示了“通行证”,其中包括“信封”. 这是否意味着骗子确实破解了合法的发送者域来发送此信息? 这个应该关心我吗?</p>
<h3>不必要</h3>
<p>2019年5月17日从乔什·基尔希纳(Josh Kirschner):: 11:49 AM</p>
<p>这取决于如何为域设置SPF记录. 如果不正确设置,即使不应该. 没有更多信息,很难确定. 无论哪种方式,欺骗或黑客攻击,您都知道它是无效的,所以请相应地对待它.</p>
<h3>我的电子邮件欺骗了</h3>
<p>从2019年8月11日蚂蚁:: 11:47 pm</p>
<p>我从地址和个人资料图片中从垃圾文件夹中收到了网络钓鱼消息. 我相信由于标题信息而被欺骗. 我更改了密码. 我还应该采取其他行动方案吗?</p>
<h3>无需做任何事情</h3>
<p>2019年8月13日从乔什·基尔希纳(Josh Kirschner):: 10:29 AM</p>
<p>如果您的电子邮件已被欺骗(鉴于您对标题信息的评价以及您的电子邮件提供商将其发送给垃圾的事实,这听起来很可能),那么您无需做任何事情. 更改密码不会有区别,因为欺骗不是帐户黑客攻击,只是有人使用技术技巧来假装成为您.</p>
<p>如果您的电子邮件是一个业务帐户,则可以通过正确设置SPF和DKIM记录来防止欺骗,但这不适用于个人电子邮件帐户.</p>
<h3>每天数百个垃圾邮件都被送到垃圾</h3>
<p>2019年8月13日从G土星:: 4:34 pm</p>
<p>我发送了数百张色情裸照,男性增强,更新汽车保修,健康,人寿保险(我在亚马逊上寻找的东西,而疯狂的清单还在. 这是我收到的一些欺骗的返回电子邮件.</p>
<p>到: .(必须启用JavaScript来查看此电子邮件地址)</p>
<p>日期:2019年8月13日,下午2:58 <br />主题: *今晚让您的伴侣疯狂在床上 * <br />安全:当时的ewsletters.俱乐部没有加密此消息</p>
<p>回复: .(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址)</p>
<p>到: .(必须启用JavaScript来查看此电子邮件地址)</p>
<p>日期:stcroix.乌鸦 – 有人试图登录您的Accouunt警报:#851 <br />主题:sub4.格里兹.com <br />邮寄:标准加密(TLS)了解更多</p>
<p>梅利莎 , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript来查看此电子邮件地址) , <br />.(必须启用JavaScript查看此电子邮件地址),———————————————————————————————————————</p>
<p>我知道他们是假的,因为我的儿子说不要回复你不会从任何列表中删除,你只会得到更多. 这些在我的垃圾桶中,因为我用“垃圾邮件”过滤了,然后删除” <br />这是Gmail不会删除它们的问题,他们日复一日地不断填补我的垃圾. 当您查找如何使它们永远消失时,您可以”单击“小上行三角”,然后单击块以阻止这些或您不想从“谎言”中收到电子邮件的任何用户,为什么没有“块发件人” Google谎言以及为什么他们允许它继续发生? 他们可以阻止其中的一些,但他们不会. 我认为他们赚钱,所以永远不会解决. 您可能会写信给他们,但是,他们不在乎. 邮件不会自动从垃圾中删除30天. 为什么不可能一次删除全部(因为它只是手动),或永远设置自动删除? <br />另外,有很多页面进行搜索时,上面有一个带有广告单词的绿色框,您会收到以下错误……无法到达此站点http:// www.googleadservices.com拒绝连接. <br />尝试:</p>
<p>检查连接 <br />检查代理和防火墙 <br />err_connection_refused. BS,为什么他们阻止任何搜索? <br />你不能问他们他们永远不会回答,他们不在乎. 任何人的帮助都将被关注. 谢谢</p>
<h3>不要将垃圾邮件移至垃圾</h3>
<p>2019年8月14日从乔什·基尔希纳(Josh Kirschner):: 3:23 PM</p>
<p>首先,您不应该将垃圾邮件移至垃圾桶,因为在进行搜索时,它将与您的有效电子邮件混合在一起 – 只需将其标记为垃圾邮件,它应该转到垃圾邮件文件夹. 无论哪种方式,垃圾和垃圾邮件文件夹中的所有消息都将在30天后自动删除. 您可以随时选择全部选择并手动删除所有内容,但是我真的不明白为什么您会打扰您,因为这些消息被隔离为垃圾邮件文件夹,无论如何,您都不会与之互动.</p>
<p>要阻止发件人,请打开电子邮件并单击右上角的三个垂直点,您将看到可以阻止“ [发送者名称]的选项”.</p>
<h2>电子邮件欺骗:攻击者如何模仿合法的发件人</h2>
<p><img src=”https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/06/05133853/abstract-e-mail-SL-e1622643637295-1200×600-1.png” /></p>
<p>简而言之,电子邮件欺骗是伪造电子邮件的创建. 本文通过更改“从标头”分析了电子邮件地址的欺骗,该信息提供了有关发件人名称和地址的信息.</p>
<p>SMTP(简单的邮件传输协议,TCP/IP网络中的主要电子邮件传输协议)没有任何保护,因此很容易欺骗发件人的地址. 实际上,所有可能的攻击者需求都是选择以其名称到达的工具. 那可以是另一个邮件客户端,也可以是特殊的实用程序或脚本,在线不足.</p>
<p>电子邮件欺骗均用于欺诈计划和针对组织的针对性攻击. 网络犯罪分子使用此技术说服受害者,一条消息来自可信赖的发件人,并推动他们执行特定的操作,例如单击网络钓鱼链接,转移资金,下载恶意文件等. 为了增加信誉,攻击者可以复制特定发件人电子邮件的设计和样式,强调任务的紧迫性,并采用其他社会工程技术.</p>
<p>在某些情况下,假电子邮件构成了多阶段攻击的一部分,其第一阶段不需要受害者的可疑行动. 有关此类攻击的示例,请参阅我们有关公司Doxing的文章.</p>
<h2>合法的领域欺骗</h2>
<p>该技术的最简单形式是合法的域名. 这涉及将组织欺骗到从标题中插入的领域,这使用户很难区分假电子邮件和真实的电子邮件.</p>
<p>为了打击欺骗,已经创建了几种邮件身份验证方法,可以增强和补充:SPF,DKIM和DMARC. 通过各种方式,这些机制验证了该消息实际上是从所述地址发送的.</p>
<ul>
<li>SPF(发件人策略框架)标准允许邮件域所有者限制可以从该域发送消息的IP地址集,并让Mail Server检查发件人的IP地址是否已由域所有者授权. 但是,SPF检查不是从标题中检查,而是SMTP信封中指定的发件人域,该域用于传输有关邮件客户端和服务器之间电子邮件路由的信息,并且未显示给收件人.</li>
<li>DKIM通过存储在发件人服务器上的私钥生成的数字签名来解决发件人身份验证的问题. 身份验证签名的公共密钥放置在负责发件人域的DNS服务器上. 如果实际上该消息是从另一个域发送的,则该签名将无效. 但是,该技术有弱点:攻击者可以在没有DKIM签名的情况下发送假电子邮件,并且该消息将无法进行身份验证.</li>
<li>DMARC(基于域的消息身份验证,报告和符合性)用于检查从标题中的dkim/spf验证域中的域. 使用DMARC,一条带有欺骗合法域的消息失败了身份验证. 但是,如果政策严格,DMARC也可以阻止想要的电子邮件(有关我们的解决方案如何增强该技术并最大程度地减少误报)。.</li>
</ul>
<p>自然地,随着上述技术的广泛实施,攻击者面临着一个艰难的选择:希望他们所假道的公司不能正确配置邮件身份验证(仍然很常见,可悲的是),或者使用绕过绕过的HEADER欺骗方法验证.</p>
<h2>显示名称欺骗</h2>
<p>显示名称是在电子邮件地址之前在Header中显示的发件人的名称. 对于公司邮件,通常是相关个人或部门的真实姓名.</p>
<p><img src=”https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/06/02120243/Email_spoofing_01.jpeg” /></p>
<p><strong><em>显示名称的示例</em></strong></p>
<p>为了使收件人的电子邮件减少混乱,许多邮件客户端隐藏了发件人的地址,并仅显示显示名称. 这允许网络犯罪分子替换名称,但将其真实地址留在标题中. 此地址通常受到DKIM签名和SPF的保护,因此身份验证机制将消息视为合法.</p>
<h3>鬼欺骗</h3>
<p>上述方法的最常见形式称为鬼欺骗. 在这里,攻击者不仅指定了被欺骗的人或公司的名称,还指定了所谓发件人的地址.</p>
<p><img src=”https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/06/02120328/Email_spoofing_02.jpeg” /></p>
<p><strong><em>鬼欺骗的例子</em></strong></p>
<p>实际上,该消息来自完全不同的地址.</p>
<p><img src=”https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/06/02120402/Email_spoofing_03.jpeg” /></p>
<p><strong><em>鬼欺骗和邮寄身份验证中的真实发送者地址.</em></strong></p>
<h3>广告欺骗</h3>
<p>AD(Active Directory)欺骗是显示名称欺骗的另一种形式,但与Ghost版本不同,它不涉及指定欺骗地址作为名称的一部分. 更重要的是,网络犯罪分子发送消息的地址具有模仿者的名字.</p>
<p><img src=”https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/06/02120435/Email_spoofing_04.jpeg” /></p>
<p><strong><em>广告欺骗的示例</em></strong></p>
<p>这种方法看起来比鬼欺骗更原始,但是有些骗子更喜欢它,原因有几个. 首先,如果收件人的邮件代理确实显示了从标题的全部显示内容,则双发送方地址将使用户比公共域上的地址更可疑. 其次,通过垃圾邮件过滤器在技术上更容易阻止幽灵欺骗:这足以托付给垃圾邮件文件夹电子邮件,其中显示的发送者名称包含电子邮件地址. 通常不可行地阻止所有来自同事和承包商相同名称的地址发送的传入电子邮件.</p>
<h2>看起来像欺骗的域名</h2>
<p>更复杂的攻击使用特殊注册的域,类似于目标组织的域名. 这需要更多的努力,因为找到和购买特定的域,然后在其上设置邮件,DKIM/SPF签名和DMARC身份验证,比简单地稍微修改header的验证要困难得多. 但这也使识别假的任务变得复杂.</p>
<h3>主要看起来像</h3>
<p>看起来像域名的域名是一个与被欺骗的组织相似的域名,但有几个更改. 我们在文章中详细讨论了这些域名,以及如何超越它们. 例如,下面的屏幕截图中的电子邮件来自域Deutschepots.de,很容易与德国邮件公司Deutsche Post的域名混淆(Deutschepost.de). 如果您在此电子邮件中遵循链接并尝试支付包裹的交付费用,您不仅会损失3欧元,还将将您的卡详细信息交给欺诈者.</p>
<p><img src=”https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/06/02120522/Email_spoofing_05.jpeg” /></p>
<p><strong><em>来自外观域的消息的示例</em></strong></p>
<p>但是,以正确的警惕性,可以发现拼写错误的域名. 但是在其他情况下,简单的专心不再足够.</p>
<h3>Unicode欺骗</h3>
<p>Unicode欺骗是一种欺骗,其中域名中的ASCII字符被Unicode集的物理相似的字符替换. 了解此技术需要了解使用非拉丁蛋白字符的域(例如,西里尔或umlauts)如何编码. 要使用它们,创建了punycode – 一种将Unicode字符转换为ASCII兼容编码(ACE)表示的方法,由拉丁字母,连字符的字母组成,数字从0到9. 同时,许多浏览器和邮件客户端显示域的Unicode版本. 例如,这个俄罗斯领域:</p>
<h2>如何识别欺骗网络钓鱼攻击的电子邮件</h2>
<p><img src=”https://www.cmu.edu/iso/images/black-and-gray-digital-device-193003.jpg” alt=”电话上的邮件收件箱图像” /></p>
<p><img src=”https://www.cmu.edu/iso/images/black-and-gray-digital-device-193003.jpg” alt=”电话上的邮件收件箱图像” /></p>
<p>您是否知道电子邮件骗子可以轻松地从地址伪造电子邮件? 它被称为电子邮件欺骗,它可以使发现骗局的工作更加困难.</p>
<p>电子邮件欺骗是一种模仿形式. 骗子将使用电子邮件欺骗来帮助自己伪装成主管,教授或金融组织,以欺骗用户执行某种类型的行动. 骗子使用这种欺骗方法,因为他们知道一个人熟悉发送消息的人更有可能与电子邮件的内容互动.</p>
<p>有各种类型的电子邮件欺骗.</p>
<p>显示名称欺骗的名称描绘了一个在离开实际发送电子邮件地址时被假名的人的显示名称.</p>
<p><strong>示例1:</strong> “约翰·杜” <br /><strong>示例2:</strong> “约翰·杜”</p>
<p>骗子也可以欺骗整个电子邮件地址,也可以只是域名,我.e., @符号的下面是什么.</p>
<p>您可以做一些事情来帮助确定电子邮件是来自欺骗的电子邮件地址还是恶意的.</p>
<h2>检查电子邮件标头信息</h2>
<p>电子邮件标题包含大量跟踪信息,显示了该消息在互联网上传播的位置. 不同的电子邮件程序以不同的方式显示这些标题. 通过访问信息安全办公室来了解如何查看邮件客户端的电子邮件标头:显示电子邮件标题网页.</p>
<p>请注意,电子邮件标头可能会被欺骗,并且并非总是可靠的. 使用ISO所有建议识别网络钓鱼消息的建议提示,如果仍然不确定,请向ISO-IR@Andrew报告该消息.CMU.edu.</p>
<p>以下技巧可以帮助确定电子邮件标题中的欺骗消息.</p>
<ul>
<li><strong>确定“来自”电子邮件地址与显示名称匹配.</strong> 乍一看,来自地址可能看起来合法,但是电子邮件标头的仔细查看可能会揭示与显示名称相关的电子邮件地址实际上来自其他人.</li>
<li><strong>确保“回复”标头匹配源.</strong> 接收消息时,这通常是从收件人中隐藏的,并且在响应消息时通常会被忽略. 如果回复地址与他们声称代表的发件人或网站不匹配,则很有可能伪造它.</li>
<li><strong>找到“返回路径”去的地方.</strong> 这确定了消息起源于. 虽然可以在消息标题中伪造返回路径,但频率不高.</li>
</ul>
<p><strong>例子:</strong> 在此示例中,骗子冒充大学的一名教职员工向学生发送虚假工作. 假设约翰·杜(John Doe)是CMU的实际教授,并拥有Johndoe@Andrew的电子邮件地址.CMU.edu . 该消息请求个人信息,包括替代通信路径,以便其他人将消息报告给ISO并实施块,罪犯可以继续骗取任何响应替代电子邮件或电话号码的受害者. 一旦骗子有一个感兴趣的人,他就可以要求个人为“工作”提供个人财务信息,例如社会保险号或银行帐户,现金伪造支票或打开恶意附件.</p>
<p>来自:约翰·杜教授 <br />主题:研究助理工作</p>
<p>您想以研究助理而在家中远程工作,每周赚取250美元? 如果有兴趣,请通过提供以下所需信息来指出. 您将收到一个详细的工作时间表. 这项工作几乎不需要事先经验.</p>
<p>全名:<br />手机 #:<br />备用电子邮件:</p>
<p>问候,<br />约翰·多伊教授<br />卡内基·梅隆大学</p>
<h2>询问消息的内容</h2>
<p>有时候,防止网络钓鱼的最佳防御是信任您的最佳直觉. 如果您收到来自与众不同的已知来源的消息,则应提高危险信号. 收到未经请求的消息时,用户应始终质疑消息的内容,尤其是当消息请求信息或指示用户单击链接或打开附件时.</p>
<p>在响应任何可疑消息之前,请执行以下任务以确保消息可靠.</p>
<ul>
<li><strong>问你自己:</strong><ul>
<li>我期待这个消息吗?</li>
<li>这封电子邮件有意义吗?</li>
<li>我被迫迅速行动吗?</li>
</ul><ul>
<li>紧迫感</li>
<li>未经请求的个人信息请求</li>
<li>通用问候/签名</li>
<li>不熟悉的链接或附件</li>
</ul><ul>
<li>如果电子邮件看起来合法但仍然令人怀疑,则最好通过信任的电话号码与所谓的发件人联系,或使用其真实的电子邮件地址打开新发出的电子邮件,. 不要回复有关消息.</li>
</ul>
<p>无论是来自未知的发件人,与您亲密的人还是您熟悉的组织. 网络骗子一直在寻找新的方法来利用个人为自己的个人利益.</p>
<h2>收到可疑消息?</h2>
<p>如果您收到可疑消息并且不确定是否合法,请向信息安全办公室(ISO)报告该消息. ISO将迅速分析信息的有效性,并为您提供安全感,因为您将不会成为网络钓鱼攻击的受害者.</p>
<p>您可以将带有电子邮件标题的消息发送到[email protected]或您可以启用phishalarm按钮,以获取1键报告或潜在的网络钓鱼消息.</p>
<ul>
<li>经常问的问题</li>
<li>关于</li>
<li>计算服务帮助中心</li>
</ul>